Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Inhalt gilt für:
v4.0 (GA)v3.1 (GA)
v3.0 (wird eingestellt)v2.1 (wird eingestellt)
In diesem Artikel erfahren Sie, wie Sie Mithilfe des Azure Portals oder Azure Storage-Explorer Benutzerdelegierungstoken( Shared Access Signature, SAS) erstellen. SAS-Token für die Benutzerdelegierung werden mit Microsoft Entra-Anmeldeinformationen geschützt. SAS-Token bieten sicheren, delegierten Zugriff auf Ressourcen in Ihrem Azure Speicherkonto.
Auf einer höheren Ebene betrachtet, so funktionieren SAS-Token:
Zuerst sendet Ihre Anwendung das SAS-Token als Teil einer REST-API-Anforderung an Azure Storage.
Wenn der Speicherdienst als Nächstes überprüft, ob die SAS gültig ist, wird die Anforderung autorisiert. Wenn das SAS-Token als ungültig eingestuft wird, wird die Anforderung abgelehnt, und der Fehlercode 403 (Verboten) wird zurückgegeben.
Azure Blob Storage bietet drei Ressourcentypen:
- Storage Konten stellen einen eindeutigen Namespace in Azure für Ihre Daten bereit.
- Datenspeichercontainer befinden sich in Speicherkonten und organisieren Gruppen von Blobs.
- Blobs befinden sich in Containern und speichern Text- und Binärdaten wie Dateien, Text und Bilder.
Wann ein SAS-Token verwendet werden soll
Schulung von benutzerdefinierten Modellen. Ihre zusammengestellten Schulungsdokumente must in einen Azure Blob Storage Container hochgeladen werden. Sie können ein SAS-Token verwenden, um Zugriff auf Ihre Schulungsdokumente zu gewähren.
Verwenden von Speichercontainern mit öffentlichem Zugriff. Sie können ein SAS-Token verwenden, um eingeschränkten Zugriff auf Ihre Speicherressourcen mit öffentlichem Lesezugriff zu gewähren.
Wichtig
Wenn Ihr Azure Speicherkonto durch ein virtuelles Netzwerk oder eine Firewall geschützt ist, können Sie keinen Zugriff mit einem SAS-Token gewähren. Sie müssen eine verwaltete Identität verwenden, um Zugriff auf Ihre Speicherressource zu gewähren.
Managed Identity unterstützt sowohl privat als auch öffentlich zugängliche Azure Blob Storage Konten.
SAS-Token gewähren Berechtigungen für Speicherressourcen und sollten auf die gleiche Weise wie ein Kontoschlüssel geschützt werden.
Vorgänge, die SAS-Token verwenden, sollten nur über eine HTTPS-Verbindung ausgeführt werden, und SAS-URIs sollten nur auf einer sicheren Verbindung wie HTTPS verteilt werden.
Voraussetzungen
Um zu beginnen, benötigen Sie Folgendes:
Ein aktives Azure-Konto. Wenn Sie kein Konto haben, können Sie ein kostenloses Konto erstellen.
Eine Document Intelligence- oder multi-serviceressource.
Eine standardleistungAzure Blob Storage Konto. Sie müssen Container erstellen, um Ihre BLOB-Daten in Ihrem Speicherkonto zu speichern und zu organisieren. Wenn Sie nicht wissen, wie Sie ein Azure Speicherkonto mit einem Speichercontainer erstellen, führen Sie die folgenden Schnellstarts aus:
- Erstellen Sie ein Speicherkonto. Wenn Sie Ihr Speicherkonto erstellen, wählen Sie im Feld "Instanzdetails>" die Option "Standardleistung" aus.
- Erstellen Sie einen Container. Wenn Sie Ihren Container erstellen, legen Sie im Fenster "Neuer Container" die Stufe "Öffentlicher Zugriff auf Container" (anonymer Lesezugriff für Container und Blobs) fest.
Hochladen Ihrer Dokumente
Melden Sie sich beim portal Azure an.
- Wählen Sie Ihr Speicherkonto → Datenspeicher → Container aus.
Wählen Sie einen Container aus der Liste aus.
Wählen Sie "Hochladen" im Menü oben auf der Seite aus.
Das Fenster "Blob hochladen " wird angezeigt. Wählen Sie Ihre hochzuladenden Dateien aus.
Hinweis
Standardmäßig verwendet die REST-API Dokumente, die sich im Stammverzeichnis Ihres Containers befinden. Sie können auch Daten verwenden, die in Unterordnern organisiert sind, wenn sie im API-Aufruf angegeben sind. Weitere Informationen finden Sie unter "Organisieren Ihrer Daten in Unterordnern".
Generieren von SAS-Token
Sobald die Voraussetzungen erfüllt sind und Sie Ihre Dokumente hochladen, können Sie jetzt SAS-Token generieren. Es gibt zwei Wege, die Sie von hier aus nehmen können: einer verwendet das Azure-Portal, der andere den Azure Speicherexplorer. Wählen Sie zwischen den beiden folgenden Registerkarten aus, um weitere Informationen zu erfahren.
Das Azure Portal ist eine webbasierte Konsole, mit der Sie Ihr Azure Abonnement und Ihre Ressourcen mithilfe einer grafischen Benutzeroberfläche (GUI) verwalten können.
Melden Sie sich beim portal Azure an.
Navigieren Sie zu Ihrem Speicherkonto>den Containern>ihrem Container.
Wählen Sie "SAS generieren" im Menü am oberen Rand der Seite aus.
Wählen Sie die Signaturmethode → Benutzerdelegierungsschlüssel aus.
Definieren Sie Berechtigungen , indem Sie das entsprechende Kontrollkästchen aktivieren oder deaktivieren.
- Stellen Sie sicher, dass die Berechtigungen "Lesen", " Schreiben", " Löschen" und "Liste " ausgewählt sind.
Wichtig
Wenn Sie eine Nachricht ähnlich der folgenden erhalten, müssen Sie auch Zugriff auf die Blob-Daten in Ihrem Speicherkonto zuweisen.
Azure rollenbasierte Zugriffssteuerung (Azure RBAC) ist das Autorisierungssystem, das zum Verwalten des Zugriffs auf Azure Ressourcen verwendet wird. Azure RBAC hilft Ihnen beim Verwalten von Zugriff und Berechtigungen für Ihre Azure-Ressourcen.
Assignieren Sie eine Azure Rolle für den Zugriff auf Blobdaten um eine Rolle zuzuweisen, die Lese-, Schreib- und Löschberechtigungen für Ihren Azure-Speichercontainer ermöglicht. Siehe"Storage Blob Data Contributor".
Geben Sie die Start - und Ablaufzeiten des signierten Schlüssels an.
- Wenn Sie ein SAS-Token erstellen, beträgt die Standarddauer 48 Stunden. Nach 48 Stunden müssen Sie ein neues Token erstellen.
- Erwägen Sie das Festlegen eines längeren Zeitraums für den Zeitraum, zu dem Sie Ihr Speicherkonto für Document Intelligence Service-Vorgänge verwenden.
- Der Wert der Ablaufzeit wird bestimmt, ob Sie einen Kontoschlüssel oder eine Signaturmethode für die Benutzerdelegierung verwenden:
- Kontoschlüssel: Keine auferlegte Höchstfrist; Bewährte Methoden empfehlen jedoch, dass Sie eine Ablaufrichtlinie konfigurieren, um das Intervall zu begrenzen und die Kompromittierung zu minimieren. Konfigurieren Sie eine Ablaufrichtlinie für freigegebene Zugriffssignaturen.
- Benutzerdelegierungsschlüssel: Der Wert für die Ablaufzeit beträgt maximal sieben Tage ab der Erstellung des SAS-Tokens. Die SAS ist nach Ablauf des Benutzerdelegierungsschlüssels ungültig, sodass eine SAS mit ablaufendem Zeitraum von mehr als sieben Tagen nur sieben Tage gültig ist. Weitere Informationen finden Sie unterVerwenden Sie Microsoft Entra-Anmeldeinformationen zur Sicherung eines SAS.
Das Feld "Zulässige IP-Adressen " ist optional und gibt eine IP-Adresse oder einen Bereich von IP-Adressen an, von denen Anforderungen akzeptiert werden sollen. Wenn die Anforderungs-IP-Adresse nicht mit der ip-Adresse oder dem Adressbereich übereinstimmt, der im SAS-Token angegeben ist, schlägt die Autorisierung fehl. Die IP-Adresse oder ein Bereich von IP-Adressen müssen öffentliche IPs und nicht privat sein. Weitere Informationen finden Sie unterAngeben einer IP-Adresse oder eines IP-Bereichs.
Das Feld "Zulässige Protokolle " ist optional und gibt das protokoll an, das für eine Anforderung mit dem SAS-Token zulässig ist. Der Standardwert ist HTTPS.
Wählen Sie "SAS-Token und URL generieren" aus.
Die Blob SAS-Tokenabfragezeichenfolge und blob SAS-URL werden im unteren Bereich des Fensters angezeigt. Um das Blob SAS-Token zu verwenden, fügen Sie es an einen Speicherdienst-URI an.
Kopieren Sie die Werte für das Blob-SAS-Token und die Blob-SAS-URL, und fügen Sie sie an einem sicheren Ort ein. Die Werte werden nur einmal angezeigt und können nach dem Schließen des Fensters nicht abgerufen werden.
Um eine SAS-URL zu erstellen, fügen Sie das SAS-Token (URI) an die URL für einen Speicherdienst an.